第三方組件可不總是你想象的那樣，即省時省力又省成本的利器

應(yīng)用安全公司Veracode一項新研究顯示，幾乎全部Java應(yīng)用都包含至少1個帶已知漏洞的組件。

Veracode報告公司企業(yè)所寫代碼的逐年改進情況，某種程度上，是對不斷增長的開源和第三方組件使用風險的積極發(fā)現(xiàn)。一個帶關(guān)鍵漏洞的流行組件，可擴散至80000多個其他軟件組件中，然后又用到可能數(shù)百萬個軟件項目的開發(fā)過程中。

軟件開發(fā)中開源組件的廣泛使用，正在公司企業(yè)間制造不受控的系統(tǒng)性風險。

Veracode報告還凸顯了軟件開發(fā)中的進步和依然留存的困難。3/5(60%)的應(yīng)用程序在第一輪掃描中就不滿足安全策略。

安全軟件開發(fā)的最佳實踐正在興起，但仍未流行到能在整個軟件開發(fā)市場上舉足輕重的程度。

一個積極的改進，來自于更前瞻性的公司給予開發(fā)人員更多權(quán)力進行安全改善。比如說，如果開發(fā)人員在質(zhì)量保障測試之前使用沙箱技術(shù)掃描App，修復(fù)率就會倍增。

開發(fā)人員培訓甚至能形成更好的效果。修復(fù)指導(dǎo)和在線學習之類的最佳實踐，可以極大改善漏洞修復(fù)率，某些情況下，可達原修復(fù)率表現(xiàn)的6倍。

開發(fā)運維實踐正植根于設(shè)立了成熟應(yīng)用安全方案的產(chǎn)業(yè)領(lǐng)袖之間。有些應(yīng)用每天都被掃描數(shù)遍。每應(yīng)用平均安全測試率是7次，有些應(yīng)用被掃描600-700次，將安全融合進開發(fā)運維過程，可以為企業(yè)在不減緩軟件開發(fā)的情況下減少風險貢獻良多。

盡管某些方面有所改善，Web應(yīng)用依然脆弱：經(jīng)Veracode工具測試的Web應(yīng)用中，超過半數(shù)受錯誤配置的安全通信或其他安全防御缺陷的影響。

Veracode的第7期《軟件安全狀態(tài)報告》，使用Veracode的代碼審計工具，在300000次評估中，對去過1年半里的數(shù)十億行代碼，進行了代碼級分析，給出了各項評估標準和數(shù)據(jù)。